Notícias

Nova campanha de spam controlada por invasores via registros TXT de DNS

Uma nova campanha de spam de finanças com anexos em HTML foi descoberta e utiliza o resolvedor de DNS público do Google para recuperar comandos JavaScript incorporados no registro TXT de um domínio. Esses comandos, então, redirecionarão o navegador de um usuário para um site de propaganda comercial agressivo, que foi reportado como um golpe.

De acordo com MyOnlineSecurity.com, que descobriu essa campanha, ela está sendo direcionada a pessoas no Reino Unido e os endereços IP associados foram utilizados anteriormente pela botnet Necurs.

A campanha de spam
Esses e-mails de spam terão o assunto “Entrega [número]”, como “Entrega 0802”, e indicarão que uma fatura de uma compra recente está anexada. Este anexo é um arquivo HTML com nomes como “invoic-B075.html”.

E-mail fraudulento
E-mail fraudulento

Quando esses anexos HTML forem abertos, ele redirecionará os usuários do Reino Unido para um  golpe de negociação do Tesler 2 na URL https://appteslerapp.com/. Esta página afirma que você pode “ganhar até US $ 237 por hora” testando o software por 5 minutos.

Página de destino do golpe
Página de destino do golpe

Usuários fora do Reino Unido, serão mostrados páginas em branco ou páginas que mostram uma mensagem de carregamento.

Usando registros TXT do DNS para redirecionar usuários

Embora seja importante estar ciente de um golpe para evitá-lo, a parte interessante dessa campanha é como os invasores usam registros TXT do DNS para informar um anexo em HTML a qual página um usuário deve ser redirecionado.

Ao observar o código-fonte dos anexos HTML, podemos ver um script JavaScript ofuscado. Esse JavaScript é acionado por uma solicitação para https://accounts.google.com/o/oauth2/revoke?callback=ccc (), que falhará e fará com que a função ccc () do script mal-intencionado seja acionada.

Fonte de anexo HTML
Fonte de anexo HTML

Como você pode ver na imagem acima, este script contém um URL codificado em base64.

var v = window.atob("aHR0cHM6Ly9kbnMuZ29vZ2xlLmNvbS9yZXNvbHZlP25hbWU9ZmV0Y2gudnhwYXB1Yi5vdXJtYXpkY29tcGFueS5uZXQmdHlwZT1UWFQ=");

Quando decodificada, essa string é um URL da resolução do DNS público do Google para um domínio específico. Por exemplo, a string acima é decodificada para https://dns.google.com/resolve?name=fetch.vxpapub.ourmazdcompany.net&type=TXT .

O script do anexo usará esse URL para recuperar o registro TXT do domínio associado.

Um registro TXT é uma entrada de DNS que pode ser usada para armazenar dados textuais. Esse campo é normalmente usado para registros SPF ou DMARC , mas pode ser usado para hospedar qualquer tipo de conteúdo textual.

A parte boa sobre o uso do resolvedor de DNS do Google é que as informações serão retornadas como JSON, o que torna fácil para o script mal-intencionado extrair os dados de que precisa.

Nesse caso específico, o script extrairá os dados encontrados no registro TXT, que contém um comando window.location.replace JavaScript. Este comando é então anexado à página HTML aberta, o que fará com que o navegador seja redirecionado para a página de spam.

{  
   "Status":0,
   "TC":false,
   "RD":true,
   "RA":true,
   "AD":false,
   "CD":false,
   "Question":[  
      {  
         "name":"fetch.vxpapub.ourmazdcompany.net.",
         "type":16
      }
   ],
   "Answer":[  
      {  
         "name":"fetch.vxpapub.ourmazdcompany.net.",
         "type":16,
         "TTL":119,
         "data":"\"window.location.replace(\"http://www.92458bfg36abp.euxjouernui.icu/52388.html\");\""
      }
   ],
   "Comment":"Response from ns1.firstdnshoster.com.(104.193.252.177)."
}

Sempre que você atualizar o URL de dns.google.com, um URL de redirecionamento diferente será fornecido.

Ao consultar o registro TXT de um domínio para determinar para qual página um usuário deve ser redirecionado, os invasores podem facilmente trocar de campanha. Por exemplo, se uma campanha não estiver funcionando, ela poderá facilmente trocá-la por outra que possa instalar malwares.

Como sempre, tenha cuidado com os e-mails que contêm anexos que fingem ser faturas. Na maioria dos casos, a menos que você saiba quem os enviou, eles serão golpes ou documentos maliciosos que infectarão você com malware.

Fonte

Mais Lidas

To Top